Controle op dubbele SPN op Windows Server 2012 R2-domeincontroller terugzetten, migratie en domeinlidmaatschap veroorzaakt fouten

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3070083
In dit artikel worden enkele problemen beschreven die zich voordoen op een domeincontroller met Windows Server 2012 R2. Er is een hotfix beschikbaar voor het oplossen van deze problemen. De hotfix is eenvereiste.
Symptomen
Stel dat u een domeincontroller waarop Windows Server 2012 R2 wordt uitgevoerd, kunnen de volgende problemen optreden.

Probleem 1: Domeinlidmaatschap

U hebt een nieuwe computer en u wilt deelnemen aan het toa-domein van het forest. Dezelfde computer host-naam wordt al gebruikt in een ander domein. In dat geval rapporteert de join-domeinlidmaatschapsbewerking succes. Na youclickOKziet u het volgende dialoogvenster. Het gewiste tekenreeksen zijn de oude en de nieuwe primaire achtervoegsel van de computer:

Dit is het screenshot van de computernaam en/of domein wijzigen

De errormessage lijkt op het volgende:

Tijdens het verwerken van een wijziging in de DNS-hostnaam voor een object, kunnen de waarden van de SPN niet synchroon worden gehouden.

Na de herstart wordt de computer zal worden gerapporteerd als lid van een domein, maar zijn niet interactief aanmelden met een domeinaccount en ontvangt u het volgende foutbericht weergegeven:

De database op de server beschikt niet over een computeraccount voor deze vertrouwensrelatie met werkstation.

U wordt het followingerror weergegeven in het bestand Netsetup.log alsoreceive:

0: 000021C 7: DSID-03200BA6, probleem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s is mislukt: 0x13 0x57

Afgifte van 2:Intra-forest migreren

Als u een interforest-migratie van gebruikers die service principal name (SPN) of een UPN (user Principal name) gedefinieerd uitvoeren of interforest-migratie van computer, de migratie mislukt, omdat de account nog in de globale catalogus bestaat als het object is opgenomen in het doeldomein met deze kenmerken is gevuld. Als het object is opgeslagen in het nieuwe domein, zou een dubbele SPN worden gemaakt.

Opmerking De hulpprogramma's voor de migratie mogelijk Active Directory Migration Tool (ADMT), hulpprogramma's voor migratie van externe of de Verplaats-ADObjectcmdlet door usingActive DirectoryPowerShell.

Probleem 3: SPN conflicten met SPN voor herstelde-object

U heeft een account met SPN's in gebruik op een rekening die nu wordt verwijderd. Youadd een SPN-naam van het object dat wordt gebruikt om een andere gebruiker of computer account hebben in het forest. Wanneer u nu probeert te herstellen van de verwijderde account, de actie is mislukt vanwege de dubbele SPN.

Opmerking In alle drie problemen, gebeurtenis-ID 2974 de volgende strekking vastgelegd in het logboek voor Active Directory van de domeincontroller:


Logboeknaam: Active Directory
Bron: Microsoft Windows ActiveDirectory_DomainService
Gebeurtenis-ID: 2974
Categorie: Globale catalogus
Niveau: fout
Trefwoorden: klassiek
Beschrijving: De waarde van het opgegeven is niet uniek in het forest of de partitie. Kenmerk: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = lidservers, DC = contoso, DC = com clusteren: 8647

Het foutnummer 8647 vertaalt naar symbolische naam is ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Voor de UPN deplicate, zou de fout nummer 8648 en ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST zijn.
Oorzaak
Windows Server 2012 R2 geïntroduceerd en UPN-SPN uniekheid beperkend controleren. Met succes kunnen dubbele SPN en UPN-wanneer worden gestuurd via Systeembeheer zonder het hulpprogramma uniekheid controleren zelf.

In de problemen die in dit artikel zijn beschreven, kunnen administratieve taken, waarbij het effect niet duidelijk is.
Oplossing
In sommige gevallen kunt u de objecten die de actie blokkeren, zodat de actie geslaagd is verwijderen. Voor interforest-migraties en herstelt, kunt u ook de SPN's en/of de UPN die zou worden dubbele en kunnen ze weer in de account toevoegen verwijderen.

Deze voorbereiding wijziging mogelijk niet in alle gevallen. Daarom heeft Microsoft een update die u kunt beheren van het gedrag van domain controller ontwikkeld. Deze update geldt voor Windows Server 2012 R2-domeincontrollers. U kunt deze update ook installeren op lidservers die kandidaat voor promotie naar een domeincontroller in de toekomst zijn.

Met deze update biedt Microsoft een forest-niveau switch uit te schakelen of het selectievakje via het kenmerk dSHeuristics uniekheid inschakelen.

De ondersteunde dSHeuristics waarden zijn:
  1. dSHeuristic = 1: AD DS kunt u dubbele UPN-namen (UPN's) toe te voegen
  2. dSHeuristic = 2: AD DS kunt u dubbele SPN-namen (SPN's) toe te voegen
  3. dSHeuristic = 3: AD DS kunt u dubbele SPN's en UPN-namen toe te voegen
  4. dSHeuristic = een andere waarde: uniekheid controleren op SPN's en de UPN door AD DS wordt afgedwongen
Voorbeelden:
  1. UPN uniekheid selectievakje is uitgeschakeld, stelt de 21e teken van dSHeuristics op "1" (000000000100000000021)
  2. SPN uniekheid selectievakje is uitgeschakeld, stelt u de 21e teken van dSHeuristics op "2" (000000000100000000022)
  3. Voor het uitschakelen van de controles op de uniciteit en UPN-SPN instellen de 21e teken van dSHeuristics op "3" (000000000100000000023)
Zie voor gedetailleerde informatie over het wijzigen van dSHeuristic 6.1.1.2.4.1.2 dSHeuristics.

Wij raden de waarde terug naar 0 te stellen wanneer u problematische wijzigingen niet meer optreden. Dit kan bijvoorbeeld het geval met name voor interforest-migraties.

Informatie over de hotfix

Belangrijk Als u een taalpakket installeert nadat u deze hotfix hebt geïnstalleerd, moet u deze hotfix opnieuw te installeren. Is dan ook raadzaam dat u een willekeurige taal installeert packs die u nodig voordat u hebt deze hotfix hebt geïnstalleerd. Zie voor meer informatie. Taalpakketten toevoegt aan Windows.

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop dit specifieke probleem zich voordoet.

Als er een hotfix beschikbaar is om te downloaden, ziet u een sectie 'Hotfix kan worden gedownload' boven aan dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, dien dan een verzoek in bij Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of om een afzonderlijk serviceverzoek aan te maken, gaat u naar de volgende Microsoft-website: Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarin de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Vereisten

Deze hotfix moet u beschikken over April 2014 updatepakket voor Windows RT 8.1 8.1 voor Windows en Windows Server 2012 R2 (2919355) in Windows 8.1 of Windows Server 2012 R2 hebben geïnstalleerd.

Informatie over het register

Voor het gebruik van de hotfix in dit pakket hoeft u geen wijzigingen aan te brengen in het register.

Opnieuw opstarten

Mogelijk moet u de computer opnieuw opstarten nadat u deze hotfix hebt toegepast.

Informatie over het vervangen van hotfixes

Deze hotfix vervangt geen eerder uitgebrachte hotfix.

Bestandsinformatie

De algemene versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.

Windows 8.1 en Windows Server 2012 R2 - bestandsgegevens en notities

Belangrijk Hotfixes voor Windows 8.1 en Windows Server 2012 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het hotfix-pakket wordt toegepast op een of beide besturingssystemen, schakelt u de hotfix die wordt vermeld onder 'Windows 8.1/Windows Server 2012 R2' op de pagina. Raadpleeg altijd de sectie 'Van toepassing op' in de artikelen om het besturingssysteem te bepalen waarop elke hotfix van toepassing is.
  • De bestanden die betrekking hebben op een specifiek product, specifieke mijlpaal (RTM, SPn), en servicestructuur (LDR, GDR) controleren of het bestand zoals aangegeven in de volgende tabel kan worden geïdentificeerd:
    VersieProductMijlpaalServicestructuur
    6.3.960 0.17xxxWindows 8.1 en Windows Server 2012 R2RTMGDR
  • De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn afzonderlijk vermeld in de sectie 'Extra informatie'. MUM, MANIFEST en de bijbehorende beveiligingscatalogusbestanden (.cat) zijn zeer belangrijk voor het statusbeheer van de bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde x86-versies van Windows 8.1
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Ntdsa.MOFNiet van toepassing227,76518-Jun-201312:21Niet van toepassing
Ntdsai.dll6.3.9600.179012,576,89609-Jun-201520:43x86
Voor alle ondersteunde x64-versies van Windows 8.1 en Windows Server 2012 R2
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Ntdsa.MOFNiet van toepassing227,76518-Jun-201314:45Niet van toepassing
Ntdsai.dll6.3.9600.179013,684,86409-Jun-201520:49x64

Aanvullende bestandsinformatie

Aanvullende bestandsinformatie voor Windows 8.1 en voor Windows Server 2012 R2
Extra bestanden voor alle ondersteunde x86-versies van Windows 8.1
BestandseigenschapWaarde
BestandsnaamX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
BestandsversieNiet van toepassing
Bestandsgrootte712
Datum (UTC)10-Jun-2015
Tijd (UTC)12:46
PlatformNiet van toepassing
BestandsnaamX86_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
BestandsversieNiet van toepassing
Bestandsgrootte3,352
Datum (UTC)09-Jun-2015
Tijd (UTC)23:14
PlatformNiet van toepassing
Extra bestanden voor alle ondersteunde x64-versies van Windows 8.1 en Windows Server 2012 R2
BestandseigenschapWaarde
BestandsnaamAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
BestandsversieNiet van toepassing
Bestandsgrootte716
Datum (UTC)10-Jun-2015
Tijd (UTC)12:46
PlatformNiet van toepassing
BestandsnaamAmd64_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
BestandsversieNiet van toepassing
Bestandsgrootte3,356
Datum (UTC)09-Jun-2015
Tijd (UTC)23:49
PlatformNiet van toepassing
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Zie gedetailleerde informatie over SPN- en UPN-uniekheid-functie in Windows Server 2012 R2.

U kunt ook zien Gebeurtenis-ID 11 — Service Principal-naam van configuratie voor meer informatie.

Vraag blog Platforms Premiere veld Engineer (PFE): Derden Active Directory-migratieprogramma en KB 3070083.
Referenties
Zie de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3070083 - Laatst bijgewerkt: 09/07/2015 20:26:00 - Revisie: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtnl
Feedback